Puedes usar el Administrador de cumplimiento en Google Cloud para garantizar que tu Google Cloud infraestructura, tus cargas de trabajo y tus datos cumplan con los requisitos de seguridad y reglamentarios de tu organización o proyecto. El Administrador de cumplimiento te permite hacer lo siguiente:
- Definir e implementar una configuración segura y compatible para tu Google Cloud entorno
- Ver paneles que muestran la alineación de tu entorno con tus requisitos de cumplimiento y seguridad. informes de evaluación
- (Solo para los niveles Premium y Enterprise) Auditar tus entornos de nube, incluida la recopilación de evidencia y la generación de informes
El Administrador de cumplimiento usa controles definidos por software que te permiten evaluar la compatibilidad con varios programas de cumplimiento y requisitos de seguridad dentro de una Google Cloud organización o un proyecto.
Componentes del Administrador de cumplimiento
En la siguiente tabla, se describen los componentes del Administrador de cumplimiento.
| Regla | Es un elemento técnico dentro de un control de la nube que te permite cumplir con un requisito de cumplimiento, seguridad o privacidad. Las reglas pueden ser políticas de la organización, políticas de IAM, configuración de la nube y lógica de detección basada en Common Expression Language (CEL). |
|---|---|
| Control de nube | Es un conjunto de reglas y metadatos asociados que puedes usar para definir la intención de seguridad o cumplimiento de tu organización o proyecto. El Administrador de cumplimiento incluye una biblioteca de controles de la nube integrados y te permite crear los tuyos. Los metadatos de un control de la nube incluyen instrucciones de corrección y la gravedad del hallazgo. Los controles de la nube tienen los siguientes modos:
|
| Control regulatorio | Es un requisito de cumplimiento reglamentario o de seguridad definido por la industria. La asignación de relaciones entre los controles de la nube y los controles reglamentarios define cómo uno o más controles de la nube satisfacen un requisito de control regulatorio. Ten en cuenta lo siguiente:
|
| Framework | Es una colección de controles de la nube y controles reglamentarios controles que representan prácticas recomendadas de seguridad o estándares definidos por la industria como FedRAMP o NIST. Un framework puede incluir una asignación entre los controles de la nube y los controles reglamentarios. El Administrador de cumplimiento incluye una biblioteca de frameworks integrados. Puedes personalizar estos frameworks o crear los tuyos. |
| Implementación de frameworks | Es la vinculación entre un framework en particular y una organización, una carpeta o un proyecto cuando implementas el framework. |
En el siguiente diagrama, se muestran los componentes del Administrador de cumplimiento.
Frameworks integrados
El Administrador de cumplimiento admite frameworks integrados para Google Cloud. Puedes implementar estos frameworks tal como están o personalizarlos para satisfacer tus necesidades particulares.
El framework Security Essentials está disponible para todos los niveles de Security Command Center.
Los siguientes frameworks solo están disponibles en los niveles Premium y Enterprise:
- AI Protection
- Controles de CIS 8.0
- CIS Google Cloud Computing Platform Benchmark v3.0
- CIS Kubernetes Benchmark v1.1.7
- Cloud Controls Matrix (CCM) 4
- Data Security and Privacy Essentials
- Plantilla de framework de seguridad de datos
- FedRAMP Low
- Organización Internacional de Normalización (ISO) 27001, 2022
- Instituto Nacional de Normas y Tecnología (NIST) SP 800-53 R5
- NIST AI 600-1 Privacy Controls
- NIST Cybersecurity Framework (CSF) 1.1
- Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) 4.0
- Qatar National Information Assurance Standard 2.1
- System and Organization Controls (SOC) 2
Latencia de análisis del Administrador de cumplimiento para controles de detección
En las siguientes secciones, se describe la cantidad de tiempo antes de que el análisis inicial genere resultados y la frecuencia de los análisis posteriores para los controles de detección de la nube que se implementan en tu entorno. El Administrador de cumplimiento solo admite análisis por lotes.
Análisis inicial
Para los niveles Premium y Enterprise, el análisis inicial comienza aproximadamente una hora después de la activación. Los primeros análisis del Administrador de cumplimiento pueden tardar hasta 48 horas en completarse.
Para el nivel Standard de Security Command Center, los análisis se ejecutan cada 96 horas, lo que puede generar una latencia de hallazgos inicial de 96 horas.
Después de implementar un framework, pueden transcurrir hasta 6 horas antes de que aparezcan los hallazgos relacionados con los controles de detección de la nube.
Es posible que veas algunos hallazgos en la Google Cloud consola demientras se ejecutan los análisis iniciales pero antes de que se complete el proceso de incorporación. Los resultados preliminares son precisos y prácticos, pero no son completos. No se recomienda iniciar una auditoría en el nivel Premium o Enterprise dentro de las primeras 48 horas.
Análisis posteriores
Después del análisis inicial, los análisis posteriores se ejecutan de forma periódica en modo por lotes, de la siguiente manera:
- Para los niveles Premium y Enterprise, los análisis por lotes se ejecutan cada 16 horas.
- Para el nivel Standard, los análisis por lotes se ejecutan cada 38 horas.
Latencia en los paneles de supervisión
El Administrador de cumplimiento incluye paneles de supervisión que agregan datos sobre los niveles de cumplimiento. Después de que aparece un hallazgo en el panel Hallazgos, puede tardar hasta 24 horas en afectar los recuentos de cumplimiento en los paneles de supervisión. Además, los cambios en los recursos (como la creación o las actualizaciones) pueden tardar hasta 48 horas en aparecer en los paneles de supervisión.
Usa el Administrador de cumplimiento con los servicios y las funciones de Security Command Center
Puedes habilitar otros servicios y funciones de Security Command Center y usarlos en la misma organización o proyecto en el que habilitas el Administrador de cumplimiento. Ten en cuenta lo siguiente:
La mayoría de los detectores de Security Health Analytics también están disponibles como controles de la nube en el Administrador de cumplimiento. Para obtener más información, consulta Asignación de detectores de Security Health Analytics a controles de la nube.
La mayoría de los detectores de Security Health Analytics están activados de forma predeterminada. Cuando habilitas el Administrador de cumplimiento, ciertos frameworks integrados se aplican automáticamente a tu Google Cloud organización. Puedes implementar frameworks adicionales con más controles de la nube según sea necesario.
Puedes inhabilitar los detectores de Security Health Analytics. Para inhabilitar un control de la nube, debes quitarlo de los frameworks personalizados que lo incluyen o anular la asignación del framework integrado implementado.
Security Health Analytics y el Administrador de cumplimiento generan hallazgos. Sin embargo, Security Health Analytics usa la
securitycenter.googleapis.comAPI para generar hallazgos, y el Administrador de cumplimiento usa lacloudsecuritycompliance.googleapis.comAPI. Si habilitas Security Health Analytics y el Administrador de cumplimiento en el mismo recurso, es posible que generes hallazgos duplicados. Los hallazgos duplicados se producen cuando un detector de Security Health Analytics y un control de la nube del Administrador de cumplimiento verifican la misma configuración (por ejemplo, ambos verifican si CMEK está habilitado para un servicio en particular). En el panel de hallazgos, los hallazgos duplicados se muestran con diferentes IDs de proveedor. Para evitar hallazgos duplicados, completa una de las siguientes acciones:Si los frameworks que implementaste incluyen controles de la nube que se asignan a todos los detectores de Security Health Analytics que se aplican a tu entorno, inhabilita Security Health Analytics para el proyecto o la carpeta.
Si los frameworks no incluyen los detectores de Security Health Analytics necesarios, silencia los hallazgos duplicados de los detectores de Security Health Analytics.
Si implementaste una postura de seguridad con el servicio de postura de seguridad, es posible que recibas hallazgos duplicados cuando habilites el Administrador de cumplimiento. Considera implementar un framework que coincida con tu postura de seguridad y borrar la implementación de la postura deployment.
El Administrador de cumplimiento usa el extremo global, no el extremo que puedes especificar cuando habilitas la residencia de datos para Security Command Center. Sin embargo, puedes especificar la ubicación en la que deseas auditar tu entorno. Para obtener más información, consulta Audita tu entorno con el Administrador de cumplimiento.